상세 컨텐츠

본문 제목

Emotet 봇넷 돌아와, 하루 10만명 공격해

국내외 보안동향

by 알약4 2020. 12. 28. 14:00

본문

 

 

The Emotet botnet is back and hits 100K recipients per day

 

2개월의 공백 끝에 크리스마스 이브에 맞춰 Emotet이 돌아왔습니다. 공격자들은 악명높은 Trickbot 트로이목마를 배포하기 위해 스팸 메시지를 보내고 있습니다.

 

최근 실행된 Emotet 캠페인은 업데이트된 페이로드를 사용하며 매일 10만 명 이상의 수신자를 노렸습니다.

  

Cofense는 이에 대해 아래와 같이 보도했습니다.

 

2달 가량 활동이 잠잠했던 Emotet이 업데이트된 페이로드와 함께 돌아왔습니다. 이는 피해자와 네트워크 방어 장치의 탐지를 피하기 위한 것으로 보입니다.”

 

이러한 업데이트 외에도, 캠페인의 타깃, 전략, 보조 페이로드는 이전과 동일했습니다."

 

 

<이미지 출처 : https://cofense.com/emotet-is-back-for-the-holidays-with-updated-tactics/>

 

 

Emotet은 최소 2014년부터 활동해 왔고, 봇넷은 TA542라 알려진 공격자가 운영하고 있습니다. 8월 중순에는 코로나19를 주제로 하는 스팸 캠페인에 사용되었습니다.

 

최근 스팸 캠페인은 악성 워드 문서 또는 해당 문서로 연결되는 링크를 포함한 메시지를 사용했습니다. 이 악성 문서는 인보이스, 배송 정보, 코로나19 관련 정보, 이력서, 재무 문서 또는 스캔된 문서로 위장했습니다.

 

악명높은 뱅킹 트로이목마는 Trickbot, QBot 트로이목마 또는 Conti (TrickBot), ProLock (QBot)과 같은 랜섬웨어 등 다른 악성코드를 전달하는데 사용되었습니다.

 

Emotet은 모듈식 악성코드이며, 공격자는 동적 링크 라이브러리를 개발해 기능을 업데이트할 수 있습니다.

 

지난 10, CISA 8월 이후로 미국의 여러 주 및 지방 정부를 노리는 Emotet 공격이 급증하고 있다는 경고를 발표했습니다.

 

이 봇넷이 10월에 2단계 페이로드로 주로 사용한 악성코드는 TrickBot, Qakbot, ZLoader였으며, 연구원들은 이번에는 TrickBot을 목격했다고 밝혔습니다.

 

TrickBot 악성코드는 2016년부터 활동해왔으며, 새로운 기능을 구현하고 탐지를 피하기 위해 지속적으로 업데이트 되었습니다.

 

TrickBot은 공격자가 해킹된 시스템에서 정보를 수집하도록 돕고, 동일 네트워크 내 다른 기기를 감염시키기 위한 측면 이동을 시도합니다. 이후 Ryuk 랜섬웨어 등 다른 페이로드를 배포해 수익을 창출하려 시도합니다.

 

전문가들은 이 새로운 Emotet 캠페인에서 의심을 피하기 위한 눈에 띄는 변화가 발견되었다고 밝혔습니다. 스팸 메시지는 Emotet을 설치하는 악성 매크로를 포함한 문서를 사용하며, “보호된문서라고 주장하는 동일한 전략을 사용합니다.

 

하지만 새로운 버전은 워드에서 파일을 오픈하던 중 에러가 발생했다는 대화창을 생성해 매크로를 활성화 했지만 여전히 콘텐츠를 볼 수 없는 사용자의 의심을 피하려 시도했습니다.

 

Proofpoint의 연구원들 또한 영어, 독일어, 스페인어, 이탈리아어로 작성된 메시지를 사용하는 동일한 캠페인을 발견했다고 밝혔습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/112650/malware/december-emotet-redacted.html

https://cofense.com/emotet-is-back-for-the-holidays-with-updated-tactics/

관련글 더보기

댓글 영역